Уязвимость обнаружена в YaBB SE. Удаленный авторизованный пользователь может выполнять произвольные команды на системе.
Как сообщается, удаленный авторизованный пользователь может внедрить произвольный PHP код, который будет выполнен на целевом сервере с привилегиями процесса Web сервера.
Удаленный заверенный пользователь может изменить установку языка через вкладку "Change Profile" к недопустимому значению. Последующие запросы от такого пользователя будут включать недопустимую установку языка. Пользователь может установить переменную языка, чтобы указать на управляемый пользователем произвольный PHP файл на удаленной системе, который будет выполнен на целевом сервере. Такой PHP файл может содержать команды операционной системы.
Уязвимость обнаружена в YaBB SE 1.5.1.
